Die Miranda-Entwickler haben in den vergangenen Tagen zwei neue Versionen des quelloffenen Instant-Messenger-Clients veröffentlicht. Die neuen Versionen schließen Sicherheitslücken, durch die Angreifer aus dem Netz mit manipulierten Nachrichten und Paketen möglicherweise fremden Programmcode einschleusen und ausführen können.
Die Version 0.7.2 behob zwei Pufferüberläufe in den Modulen zur Unterstützung der MSN- und Yahoo-Protokolle. Der Sicherheitsdienstleister Secunia hat die Lücke im Yahoo-Modul entdeckt, in dem präparierte Autorisierungsanfragen eine sogenannte Format-String-Schwachstelle in der Funktion zum Hinzufügen von Yahoo-Kontakten zur Kontaktliste ausnutzen können. Dazu muss Miranda aber mit einem manipulierten Server verbunden sein. Zu dem Fehler im MSN-Modul nennen die Entwickler keine näheren Details.
Seit kurzem steht nun Miranda-IM 0.7.3 zum Download auf den Sourceforge-Servern bereit. Sie beseitigt neben Problemen bei der Kodierung von Unicode-Zeichen im MSN-Modul eine Sicherheitslücke in der Jabber-Unterstützung. Auch hier halten sich die Entwickler bedeckt und erläutern lediglich, dass es eine Schwachstelle durch Jabber in der Kontaktliste gebe; zu den Auswirkungen äußern sie sich nicht. Dennoch sollten Nutzer von Miranda-IM die aktuelle Version der Software so bald wie möglich herunterladen und installieren.
Siehe dazu auch:
* Changelog zu den Änderungen in Miranda-IM 0.7.2
* Changelog zu den Änderungen in Miranda-IM 0.7.3
* Miranda "ext_yahoo_contact_added()" Format String Vulnerability, Fehlerbericht von Secunia
* Download der aktuellen Miranda-IM-Version
Quelle und Links :
http://www.heise.de/security/news/meldung/98864/Miranda-IM-dichtet-Sicherheitslecks-ab
